Nom:W32/Codbot.A.1
La date de la découverte:15/02/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:50.176 Octets
Somme de contrôle MD5:6f6affa5a078d9c2b6a3633db7462745
Version VDF:6.29.00.125

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Codbot.A
   •  Mcafee: W32/Sdbot.worm.gen
   •  Kaspersky: Backdoor.Win32.Codbot.ab
   •  TrendMicro: WORM_CODBOT.B
   •  Sophos: Exp/MS04011-A
   •  Grisoft: BackDoor.Small.7.AT
   •  VirusBuster: Worm.Codbot.A
   •  Eset: Win32/Codbot.E
   •  Bitdefender: Worm.Sdbot.CNY


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il emploie les vulnérabilités de software
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\upnp.exe

 Registre Les clés de registre suivantes sont ajoutées afin de charger le service après le redémarrage:

– HKLM\SYSTEM\CurrentControlSet\Services\UPnP Configuration
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%SYSDIR%\upnp.exe"
   • "DisplayName"="Universal Plug and Play Device Configuration"
   • "ObjectName"="LocalSystem"
   • "FailureActions"=%valeurs hexa%
   • "Description"="Handling all UPnP related system operations."

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • C$\windows\system32
   • c$\winnt\system32
   • ADMIN$\system32\
   • ADMIN$
   • print$


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– Une liste de noms d'utilisateurs et de mots de passe:
   • Rendszergazda
   • Beheerder
   • amministratore
   • hallintovirkailijat
   • Administrat
   • Administrateur
   • administrador
   • Administrador
   • administrator
   • Administrator
   • ADMINISTRATOR
   • Password
   • password



La vulnérabilité:
Il se sert des vulnérabilités suivantes:
– MS01-059 (Unchecked Buffer in Universal Plug and Play)
– MS02-061 (Elevation of Privilege in SQL Server Web)
– MS03-007 (Unchecked Buffer in Windows Component)
– MS03-026 (Buffer Overrun in RPC Interface)
– MS04-007 (ASN.1 Vulnerability)
– MS04-011 (LSASS Vulnerability)


Exécution à distance:
–Il essaye de programmer une exécution à distance du malware, sur la machine nouvellement infectée. Par conséquent il emploie la fonction NetScheduleJobAdd.

 IRC Afin de fournir des informations sur le système et d'accès à distance, il se connecte aux serveurs IRC suivants:

Serveur: 0x41.cyber**********
Port: 6556
Canal: #0x90
Pseudonyme: %chaîne de caractères aléatoire de neuf digits%
Mot de passe: 3nt3r

Serveur: dev.lsa**********
Port: 6556
Canal: #0x90
Pseudonyme: %chaîne de caractères aléatoire de neuf digits%
Mot de passe: 3nt3r

Serveur: dev.lsa**********
Port: 6556
Canal: #0x90
Pseudonyme: %chaîne de caractères aléatoire de neuf digits%
Mot de passe: 3nt3r

Serveur: dev.mem**********
Port: 6556
Canal: #0x90
Pseudonyme: %chaîne de caractères aléatoire de neuf digits%
Mot de passe: 3nt3r



– Ce Malware a la capacité de ramasser et d'envoyer des informations tel que:
    • Vitesse du CPU
    • Utilisateur courant
    • Espace libre sur le disque dur
    • Mémoire libre
    • Le temps de fonctionnement du Malware
    • Information sur le réseau
    • Information sur des processus courants
    • Taille de mémoire
    • Nom d'utilisateur
    • Information sur le système d'exploitation Windows


– Ensuite il a la capacité d'opérer des actions tel que:
    • Désactiver les partages réseau
    • Télécharger un fichier
    • Activer les partages réseau
    • Finir le processus
    • Scanner le réseau
    • Commence le keylog
    • Démarrer une routine de propagation
    • Terminer le Malware
    • Terminer un processus
    • Se mettre à jour tout seul

 Porte dérobée Le port suivant est ouvert:

%SYSDIR%\upnp.exe sur le port TCP 21 afin de fournir un serveur FTP

 Informations divers Mutex:
Il crée le Mutex suivant:
   • 0x0_UPnP_0x0

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le mardi 16 mai 2006
Description mise à jour par Irina Boldea le mardi 16 mai 2006

Retour . . . .